Pourquoi la signature numérique fait-elle partie du fichier d'assertion SAML?

Question

Je dois effectuer le flux d'assertion SAML Bearer à partir de OAuth 2 manuellement via Postman pour prouver qu'il fonctionne avec notre backend. Par conséquent, j'ai créé mon propre fichier d'assertion SAML en utilisant [1] comme référence (faites défiler un peu pour voir l'exemple d'assertion SAML).

Je me demande pourquoi la signature numérique (valeur de l'élément XML ds:SignatureValue) fait partie du fichier qui contient l'assertion SAML. Bien sûr, je ne peux pas inclure la signature dans la chose en cours de signature. Je me demande donc quelle partie de l'affirmation est signée.

[1] https://help.salesforce.com/articleView?id=remoteaccess_oauth_SAML_bearer_flow.htm&language=en&type=0

Answer 1

ds:SignatureValue est nécessaire dans le Assertion pour vérifier que la partie Assertion n'est pas modifiée et destinée à être envoyée par le fournisseur d'identité (IdP) au fournisseur de services (SP) seulement et ne autrement modifié pendant le transit.

En général, la partie Assertion (hors élément ds:Signature) est signé, fixé à l'élément ds:SignatureValue, les détails de signature liés sont ajoutés à l'élément ds:Signature et envoyé à la SP par IdP.